WAR:慢雾科技：Cover 协议被黑简要分析

2020年12月29日，据慢雾区情报Cover协议价格暴跌，以下是慢雾安全团队对整个攻击流程的简要分析。

1.在Cover协议的Blacksmith合约中，用户可以通过deposit函数抵押BPT代币；2.攻击者在第一次进行deposit-withdraw后将通过updatePool函数来更新池子，并使用accRewardsPerToken来记录累计奖励；3.之后将通过_claimCoverRewards函数来分配奖励并使用rewardWriteoff参数进行记录；4.在攻击者第一次withdraw后还留有一小部分的BPT进行抵押；5.此时攻击者将第二次进行deposit，并通过claimRewards提取奖励；6.问题出在rewardWriteoff的具体计算，在攻击者第二次进行deposit-claimRewards时取的Pool值定义为memory，此时memory中获取的Pool是攻击者第一次withdraw进行updatePool时更新的值；7.由于memory中获取的Pool值是旧的，其对应记录的accRewardsPerToken也是旧的会赋值到miner；8.之后再进行新的一次updatePool时，由于攻击者在第一次进行withdraw后池子中的lpTotal已经变小，所以最后获得的accRewardsPerToken将变大；9.此时攻击者被赋值的accRewardsPerToken是旧的是一个较小值，在进行rewardWriteoff计算时获得的值也将偏小，但攻击者在进行claimRewards时用的却是池子更新后的accRewardsPerToken值；10.因此在进行具体奖励计算时由于这个新旧参数之前差值，会导致计算出一个偏大的数值；11.所以最后在根据计算结果给攻击者铸造奖励时就会额外铸造出更多的COVER代币，导致COVER代币增发。

慢雾科技合伙人启富：区块链技术驱动的数字货币有很强的共识 未来应用场景很大:金色财经现场报道，9月20日，由金色财经主办，水桥区块链总冠名的“共为·创业者大会”在厦门举办。在主题为《区块链如何推动数字经济时代的发展》的圆桌对话环节，慢雾科技合伙人启富表示，区块链技术从诞生起就有财富再分配的功能。大家对区块链的认知可能比较多在早期，大家对超主权或者非主权的货币的共识，使大家认为加密货币有很多使用场景。虽然目前加密货币的应用场景还不是很多，但是整个趋势是非常明显的，未来它会有更好的发展空间，尤其在泡沫或者通货膨胀的时候有很好的优势。[2020/9/20]

具体accRewardsPerToken参数差值变化如下图：

元界DNA主链代码已通过慢雾科技安全审计:元界DNA（Metaverse Dualchain Network Architecture）主链代码已通过慢雾科技安全审计。慢雾科技采用“白盒为主，黑灰为辅”的策略，以最贴近真实攻击的方式对Metaverse DNA主链代码的随机数生成算法安全、密钥存储与内存安全、密码学组件调用、加密强度安全、交易延展性、交易重放安全性、代币“假充值”漏洞、RPC“黑人节”漏洞、代码合规性共9个维度进行了全面的安全审计，审计报告显示Metaverse DNA主链代码通过慢雾科技公链安全审计标准。

元界DNA主网(Helix 1.0)已于2020年8月5日正式上线，其基础代币DNA目前已上线包括OKEx、ZB、Bittrex（B网）等全球19家主流交易平台。[2020/8/10]

动态 | 慢雾科技：区块链作恶主要包括盗币、恶意挖矿、勒索等八大方面:慢雾科技今日在其官博上发表“区块链作恶总结图”：区块链作恶可分为盗币、恶意挖矿、勒索、暗网、C2中转、、资金盘、。其中这八个方面又细分出很多作恶手段，比如盗币有钓鱼攻击、木马攻击、算力攻击、智能合约攻击、基础设施攻击等作恶手段。此外，慢雾科技还提醒，竞技类DApp已经成为带有“智能合约”的公链不可忽略的某种落地场景，或将可能作为新型作恶手段。[2019/1/10]

标签：WARREWARDREWARDSVERLegia Warsaw Fan TokenREWARD币XActRewardsMetaverse Network

火必交易所热门资讯